Аскеров Александр
Эдуардович; Замбалова Дина Владимировна;
Кузнецова София Вадимовна; Поляков Глеб Сергеевич;
Скандарова Полина Юрьевна; Тарутина Кристина Еленовна;
Цвелев Сергей Андреевич; Шулуужук Айраана Вячеславовна
Российский университет дружбы народов, Москва,
Россия
Учебная группа НПИбд-01-22
01.10.2025
Цель лабораторной работы
Целью лабораторной работы является исследование сценария
целенаправленной атаки на корпоративный мессенджер и сопутствующие
сервисы, выявить и продемонстрировать эксплуатацию реальных уязвимостей
(WpDiscuz, ProxyLogon, RocketChat), а также отработать методы
обнаружения, локализации и нейтрализации последствий компрометации для
восстановления безопасности информационной инфраструктуры
организации.
Теоретическое введение
Легенда. Защита
корпоративного мессенджера
Конкуренты решили скомпрометировать деятельность Компании и нашли для
этого исполнителя. Злоумышленник находит в Интернете сайт
соответствующего предприятия и решает провести атаку на него с целью
получения доступа к внутренним ресурсам. Проэксплуатировав обнаруженную
на сайте уязвимость, нарушитель стремится захватить управление другими
ресурсами защищаемой сети, в том числе, пытается закрепиться на почтовом
сервере и продолжить атаку. Главная задача злоумышленника - получение
доступа к переписке сотрудников компании, раскрытие учётных данных
пользователей, зарегистрированных в приложении корпоративного
мессенджера, с целью использования их для нанесения ущерба репутации
конкурирующей Компании.
Теоретическое введение
Описание уязвимостей
WpDiscuz
CVE-2020-24186 – это уязвимость в плагине для создания комментариев
WpDiscuz версии с 7.0.0 по 7.0.4 включительно. Уязвимость позволяет
получить RCE (удаленное выполнение кода).
Proxylogon
Proxylogon представляет собой SSRFуязвимость, позволяющую обойти
аутентификацию и выдать себя за администратора.
Следующий шаг после SSRF – эксплуатация CVE 2020-27065. Данная
уязвимость является следствием неэффективного ограничения выбора
расположения backup виртуальной директории автономных адресных книг.
Теоретическое введение
Описание уязвимостей
RocketChat
CVE-2021-22911 представляет собой сочетание из двух SQL-инъекций: -
слепая NoSQL-инъекция, - NoSQL-инъекция №2: повышение привилегий.
CVE-2022-0847 (Dirty Pipe) представляет собой уязвимость повышения
привилегий, находящаяся в самом ядре Linux версии 5.8 и выше.
Ход выполнения лабораторной работы
Подключение к серверу
Ход выполнения лабораторной работы
Вектор атаки
Уязвимый узел WpDiscuz
Обнаружение и
нейтрализация полезных нагрузок
Подключение к удаленному рабочему
столу
Уязвимый узел WpDiscuz
Обнаружение и
нейтрализация полезных нагрузок
Просмотр пароля
Уязвимый узел WpDiscuz
Обнаружение и
нейтрализация полезных нагрузок
Вход в KeyPass 2
Уязвимый узел WpDiscuz
Обнаружение и
нейтрализация полезных нагрузок
Папка атакованного сервера
Уязвимый узел WpDiscuz
Обнаружение и
нейтрализация полезных нагрузок
Атакованный сервер
Уязвимый узел WpDiscuz
Обнаружение и
нейтрализация полезных нагрузок
Авторизация
Уязвимый узел WpDiscuz
Обнаружение и
нейтрализация полезных нагрузок
Плагин UpdraftPlus в репозитории
WordPress
Уязвимый узел WpDiscuz
Обнаружение и
нейтрализация полезных нагрузок
Существующие резервные копии
UpdraftPlus
Уязвимый узел WpDiscuz
Обнаружение и
нейтрализация полезных нагрузок
Компоненты для
восстановления
Уязвимый узел WpDiscuz
Обнаружение и
нейтрализация полезных нагрузок
Ошибка восстановления
Уязвимый узел WpDiscuz
Обнаружение и
нейтрализация полезных нагрузок
Успешное выполнение
восстановления
Уязвимый узел WpDiscuz
Обнаружение и
нейтрализация полезных нагрузок
Обновленная страница сайта
Уязвимый узел WpDiscuz
Обнаружение и
нейтрализация полезных нагрузок
Отображение информации о TCP-соединениях.
Процесс закрытия meterpreter-сессии
В ходе выполнения данной лабораторной работы мы исследовали сценарии
целенаправленной атаки на корпоративный мессенджер и сопутствующие
сервисы, выявили и продемонстрировали эксплуатацию реальных уязвимостей
(WpDiscuz, ProxyLogon, RocketChat), а также отработали методы
обнаружения, локализации и нейтрализации последствий компрометации для
восстановления безопасности информационной инфраструктуры
организации.